Скачать презентацию ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СВОИМИ СИЛАМИ 2015 г Скачать презентацию ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СВОИМИ СИЛАМИ 2015 г

Персональные данные в организации. Докумнты.pptx

  • Количество слайдов: 48

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СВОИМИ СИЛАМИ 2015 г. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ СВОИМИ СИЛАМИ 2015 г.

Основные понятия Персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому на Основные понятия Персональные данные (ПДн) — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн (ст. 3, № 152 -ФЗ).

П р и м е р ы Иванович ООО «Лютик» Иванова Мария Ивановна Паспортные П р и м е р ы Иванович ООО «Лютик» Иванова Мария Ивановна Паспортные данные

П р и м е р ы Дата рождения Номер телефона ФИО, место работы, П р и м е р ы Дата рождения Номер телефона ФИО, место работы, размер з/п

Основные понятия Общедоступные данные (ПДн) — персональные данные, доступ неограниченного круга лиц к которым Основные понятия Общедоступные данные (ПДн) — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных; (ст. 3, № 152 -ФЗ).

Данные о человеке, обрабатываемые только с отдельного письменного разрешения • национальная принадлежность • политические Данные о человеке, обрабатываемые только с отдельного письменного разрешения • национальная принадлежность • политические взгляды • религиозные убеждения

РИСКИ ПРИ РАЗГЛАШЕНИИ ПНд Утрата паспорта (копии) • Непредвиденные кредиты • Регистрация СИМ карт РИСКИ ПРИ РАЗГЛАШЕНИИ ПНд Утрата паспорта (копии) • Непредвиденные кредиты • Регистрация СИМ карт и оплата счетов за разговоры Утрата банковской карты или данных • Оплата покупок через интернет • Перевод денег на электронные кошельки Разглашение данных об истории болезни • Продажа БАД по телефону • Шантаж и размещение в СМИ Разглашение данных о работнике • Различные виды мошенничества • Рассылка каталогов, буклетов, рекламы

Обязанности операторов ПДн знать принципы обработки персональных данных Принимать меры для защиты персональных данных Обязанности операторов ПДн знать принципы обработки персональных данных Принимать меры для защиты персональных данных не раскрывать и не распространять данные без согласия

Принципы обработки ПДн Законность сбора и обработки Конкретная законная цель Разделение данных с разными Принципы обработки ПДн Законность сбора и обработки Конкретная законная цель Разделение данных с разными целями обработки Соответствие данных цели Точность, достаточность и актуальность Соблюдение срока

Как работать с персональными данными? Начинать следует с выполнения требований Роскомнадзора по юридическому оформлению Как работать с персональными данными? Начинать следует с выполнения требований Роскомнадзора по юридическому оформлению обработки персональных данных. Действовать будем по алгоритму.

Этапы по внедрению системы защиты ПДн 1 • Создание приказа о начале работ по Этапы по внедрению системы защиты ПДн 1 • Создание приказа о начале работ по созданию системы защиты персональных данных 2 • Сбор и анализ информации 3 • Направление уведомления в Роскомнадзор 4 • Разработка документов для субъектов ПДн 5 • Внедрение системы защиты ПДн 6 • Определение технических средств защиты ПДн

1 Этап. Создание приказа о начале работ по созданию системы защиты персональных данных «Об 1 Этап. Создание приказа о начале работ по созданию системы защиты персональных данных «Об организации работ по обеспечению безопасности ПДн» Ответственный сотрудник положения по обработке и защите ПДн Состав комиссии указание о разработке документации, по защите ПДн комиссия по организации работы по защите ПДн

2 Этап. Обследование организации Факты обработки ПДн Модель угроз безопасности ПДн Перечень ПДн организации 2 Этап. Обследование организации Факты обработки ПДн Модель угроз безопасности ПДн Перечень ПДн организации Определение УЗ ИСПДн

Примеры использования ПДн Указание на сайте компании ФИО и Организация или должность Паспорт Для Примеры использования ПДн Указание на сайте компании ФИО и Организация или должность Паспорт Для публичного поздравления с днем рождения Кадровые документы Указание на двери кабинета Указание на пропуске Внесение в бухгалтерские информационные системы Ближайшие Для возможной связи в родственники чрезвычайных случаях Для предоставления льгот и гарантий Для отправки официальных уведомлений Для включения в кадровый резерв Адрес Знание языков

2 Этап. Обследование организации 2 Этап. Обследование организации

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации (10 самых распространённых ошибок) 2 Этап. Обследование организации (10 самых распространённых ошибок)

2 Этап. Обследование организации Где содержатся ПДн Использование данных о сотруднике при кадровом учете 2 Этап. Обследование организации Где содержатся ПДн Использование данных о сотруднике при кадровом учете Командировки сотрудников Перевод заработной платы работников через банк Визитные карточки

2 Этап. Обследование организации. Обработка ПДн без использования средств автоматизации Обработка типовых форм Типовая 2 Этап. Обследование организации. Обработка ПДн без использования средств автоматизации Обработка типовых форм Типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своём согласии на обработку ПДн, осуществляемую без использования средств автоматизации

Этап 2. Обследование организации. Разработка модели угроз безопасности ПДн Взлом сети Вирусы Несанкционированный доступ Этап 2. Обследование организации. Разработка модели угроз безопасности ПДн Взлом сети Вирусы Несанкционированный доступ Виды угроз Уничтожение Техногенные Кража

Категории ПДн Биометрические персональные данные – физиологические и биологические особенности человека, на основании которых Категории ПДн Биометрические персональные данные – физиологические и биологические особенности человека, на основании которых можно установить его личность и используются оператором для установления личности. Примеры: Фото, отпечатки пальцев, изображение сетчатки глаза Соответствуют классу 3 классификации по постановлению правительства РФ 781 от 17. 11. 07

Категории ПДн Специальные персональные данные – закрытый перечень приведённый в статье 10 содержащий: qрасу, Категории ПДн Специальные персональные данные – закрытый перечень приведённый в статье 10 содержащий: qрасу, qнациональность, qполитические взгляды, q религию, qфилософию, qсостояние здоровья, qинтимную жизнь Соответствуют классу 1 классификации по постановлению правительства РФ 781 от 17. 11. 07

Категории ПДн Персональные данные, сделанные общедоступными субъектом персональных данных q. Список ФИО на сайте Категории ПДн Персональные данные, сделанные общедоступными субъектом персональных данных q. Список ФИО на сайте q. Доска почёта q. Статистические данные Соответствуют классу 4 классификации по постановлению правительства РФ 781 от 17. 11. 07

Категории ПДн Иные персональные данные – не вошедшие в первые три категории q. Паспортные Категории ПДн Иные персональные данные – не вошедшие в первые три категории q. Паспортные данные (кроме фото) q. Размер зарплаты q. Занимаемая должность q. Бухгалтерские кадровые информационные системы q. Системы по учету услуг (информационная система автомойки, салона красоты и тд) Соответствуют классу 2 классификации по постановлению правительства РФ 781 от 17. 11. 07

Уровни защищенности ИСПДн. Обрабатываемые ПДн принадлежат сотрудникам компании оператора Тип угрозы / тип ПДн Уровни защищенности ИСПДн. Обрабатываемые ПДн принадлежат сотрудникам компании оператора Тип угрозы / тип ПДн 1 тип угроз 2 тип угроз 3 тип угроз Биометрические ПДн (фото, отпечатки пальцев) УЗ 1 УЗ 2 УЗ 3 Специальные ПДн (состояние здоровья) УЗ 1 УЗ 2 УЗ 3 Иные ПДн (паспорт, должность) УЗ 1 УЗ 3 УЗ 4 Общедоступные ПДн (сайт, доска почёта) УЗ 2 УЗ 3 УЗ 4

Меры защиты Уровень защищенности Необходимый состав применяемых мер для обеспечения уровня защищенности Ограничен доступ Меры защиты Уровень защищенности Необходимый состав применяемых мер для обеспечения уровня защищенности Ограничен доступ в помещения, из которых можно подключиться к ИСПДн; Контролируются носители ПДн; При необходимости применяются сертифицированные средства защиты информации; Документально утвержден перечень лиц, имеющих доступ к ИСПДн УЗ 3 Включает требования 4 уровня защищенности; Назначен работник, ответственный за обеспечение безопасности ПДн УЗ 2 Включает требования 3 и 4 уровней защищенности; Ограничен доступ к электронному журналу сообщений Включает требования остальных уровней; В электронном журнале безопасности автоматически фиксируется изменение прав доступа к ИСПДн; Безопасность ПДн в ИСПДн контролирует структурное подразделение (НЕ отдельный сотрудник) УЗ 4 УЗ 1

Этап 3. Направление уведомления в Роскомнадзор Можно обрабатывать без уведомления: данные сотрудников данные по Этап 3. Направление уведомления в Роскомнадзор Можно обрабатывать без уведомления: данные сотрудников данные по договорным отношениям с юр. лицами данные , которые являются общедоступными данные, которые обрабатываются без использования средств автоматизации

Этап 3. Направление уведомления в Роскомнадзор Внимание! Уведомления в электронном виде недостаточно, обязательна отправка Этап 3. Направление уведомления в Роскомнадзор Внимание! Уведомления в электронном виде недостаточно, обязательна отправка бумажного варианта по почте Всем, кто отправил уведомление до 2011 г. Необходимо отправить повторно

Этап 4. Разработка документов по субъектам ПДн. Общие локальные нормативные акты 1. Общий документ, Этап 4. Разработка документов по субъектам ПДн. Общие локальные нормативные акты 1. Общий документ, определяющий политику в отношении обработки ПДн (положение о персональных данных). 2. Список лиц, обрабатывающие ПДн. 3. Приказ о назначении сотрудника, ответственного за организацию обработки ПДн. 4. Положение о правовых, организационных и технических мерах защиты ПДн. 5. Локальный акт, устанавливающий процедуры, направленные на предотвращение и выявление нарушения законодательства в сфере защиты ПДн.

Этап 4. Разработка документов по субъектам ПДн «Согласие на обработку ПДн» «Отзыв согласия на Этап 4. Разработка документов по субъектам ПДн «Согласие на обработку ПДн» «Отзыв согласия на обработку ПДн»

Этап 4. Согласие на обработку ПДн подача заявления в банк для оформление банковской карты Этап 4. Согласие на обработку ПДн подача заявления в банк для оформление банковской карты получение данных о клиенте Случаи получения согласия на обработку ПДн Командировка. Покупка билетов, бронирование номера Визитные карточки размещение ФИО и должности сотрудников на сайте компании ФИО на двери кабинета

Не требуется получать согласие на обработку ПДн, если обработка необходима (152 -ФЗ, статья 6. Не требуется получать согласие на обработку ПДн, если обработка необходима (152 -ФЗ, статья 6. 1) Исполнение законодательства, международных договоров РФ и решений суда Предоставление госуслуг Случаи обработки ПДн без согласия В статистических целях (ПДн обезличены) Защита жизни и здоровья (если согласие получить невозможно) Для осуществления законной деятельности журналиста или СМИ ПДн общедоступны или подлежат обязательному раскрытию Исполнение договоров

Этап 4. Отзыв согласия на обработку ПДн Варианты отзыва согласия на обработку ПДн Свой Этап 4. Отзыв согласия на обработку ПДн Варианты отзыва согласия на обработку ПДн Свой сотрудник Клиент Допускается продолжение обработки персональных данных, если это требуется для исполнения Федерального законодательства.

Этап 5. Внедрение системы защиты ПДн составление, утверждение и уведомление перечня лиц, допускающихся к Этап 5. Внедрение системы защиты ПДн составление, утверждение и уведомление перечня лиц, допускающихся к обработке ПДн составление и утверждение перечня обрабатываемых ПДн составление и утверждение положения об обработке и защите ПДн на предприятии, включающего лист ознакомления сотрудников с данным положением

Кадр. ИН Кадр. ИН

ПРАВОНАРУШЕНИЯ СВЯЗАННЫХ С ПДН 1 • обработка ПДн с нарушением требований к составу сведений, ПРАВОНАРУШЕНИЯ СВЯЗАННЫХ С ПДН 1 • обработка ПДн с нарушением требований к составу сведений, включаемых в письменное согласие субъекта ПДн на обработку его персональных данных 2 • обработка ПДн без согласия их субъекта 3 • обработка ПДн, входящих в специальные категории, в случаях, которые не предусмотрены законодательством 4 • невыполнение оператором обязанности опубликования его политики в отношении обработки ПДн и сведений о реализуемых требованиях к защите ПДн

ПРАВОНАРУШЕНИЯ СВЯЗАННЫХ С ПДН 5 • невыполнение оператором обязанности предоставления субъекту ПДн информации, касающейся ПРАВОНАРУШЕНИЯ СВЯЗАННЫХ С ПДН 5 • невыполнение оператором обязанности предоставления субъекту ПДн информации, касающейся обработки его ПДн 6 • невыполнение оператором требований субъекта ПДн или уполномоченного органа по защите прав субъектов ПДн об уточнении ПДн, их блокировании либо уничтожении 7 • при обработке ПДн без использования средств автоматизации невыполнение оператором обязанности обеспечения сохранности ПДн 8 • невыполнение оператором, являющимся государственным или муниципальным органом, обязанности обезличивания ПДн, несоблюдение установленных требований и методов обезличивания ПДн

Контроль Роскомнадзора Контроль Проверки Систематическое наблюдение Пресекательные меры Контроль Роскомнадзора Контроль Проверки Систематическое наблюдение Пресекательные меры